EDR چیست و چگونه کار میکند؟

در این بخش توضیح میدهیم که نرم افزار EDR چیست و چگونگی عملکرد EDR در بستر شبکه را بررسی میکنیم:

در فوریه 2014، موسسه ملی استاندارد و فناوری وزارت بازرگانی (NIST) چارچوبی را برای بهبود امنیت سایبری زیرساختهای حیاتی ایجاد کرد.

این چارچوب برای کمک به سازمانها در برنامه‌ریزی و رفع تهدیدهای امنیت سایبری طراحی شده است.

 نرم افزار EDR چیست؟

EDR چیست؟ تشخیص و پاسخ به نقاط پایانی (EDR) یک رویکرد تخصصی در امنیت سایبری است که بر نظارت و آنالیز مداوم فعالیتهای نقاط پایانی برای کاهش تهدیدات نوظهور تمرکز دارد.

این رویکرد، امکان مشاهده‌ بلادرنگ عوامل بالقوه را فراهم میکند و شبکه‌ها و دستگاههای نقاط پایانی مانند دسکتاپ‌ها، دستگاههای اینترنت اشیا، لپ‌تاپها، تلفنهای همراه و موارد دیگر را اسکن میکند.

تشخیص و پاسخ به نقاط پایانی (EDR) میتواند کل چرخه‌ی حیات تهدید را بررسی کند و بینش‌هایی در مورد محل، ماهیت و چگونگی وقوع آن، از جمله گامهایی که برای رفع تهدیدات باید برداشته شود، ارائه دهد.

4 عملکرد اصلی نرم افزار EDR

تشخیص تهدیدها، اساس همه راه‌حلهای EDR است تا تهدیدها را بعنوان بخشی از فرآیند اصلاح، مهار، بررسی و از بین ببرد.

مسئله این نیست که آیا یک سازمان با تهدیدها روبرو خواهد شد یا خیر؛ بلکه مسئله اینست که پس از آلوده شدن سیستمهای سازمان، چه اتفاقی می‌افتد.

علاوه بر عملکردهای کلیدی تشخیص، مهار، بررسی و اصلاح تهدید، EDR با گنجاندن قابلیت‌های جمع‌آوری، تحلیل و پاسخ داده‌ها، پاسخ‌ها و هشدارهای خودکار را برای تهدیدهای قریب‌الوقوع هماهنگ میکند.

این اجزای عملکردی زیر، اساس راه‌حلهای EDR را تشکیل میدهند:

• جمع‌آوری داده‌ها
• تحلیل رفتاری
• پاسخ خودکار

ماموران جمع‌آوری داده‌های نقاط پایانی بطور مداوم نقاط پایانی را رصد کرده و داده‌ها را جمع‌آوری میکنند.

داده‌هایی که شامل فرآیندها، میزان فعالیت رخ داده در اندپوینت، اتصالات نقطه پایانی و داده‌های منتقل شده به/از نقطه پایانی میباشند.

تحلیل رفتاری EDR، داده‌های نقطه پایانی را بصورت بلادرنگ آنالیز میکند تا تهدیدها را به سرعت تشخیص دهد. حتی اگر با پارامترهای تهدید از پیش تنظیم‌شده مطابقت نداشته باشند.

ابزارهای پزشکی قانونی ماهیت تهدید را تجزیه و تحلیل کرده و پس از مهار آن، نحوه اجرای حمله را بررسی می‌کنند.

پاسخ خودکار به حادثه EDR، تهدیدها را شناسایی کرده و براساس قوانینی که توسط تیم امنیتی طراحی شده است، پاسخ خودکار را فعال میکند.

این امر ماهیت تهدید و پاسخ مناسب را تعیین میکند، مانند ارسال هشدار مبنی بر اینکه کاربر نقطه پایانی آسیب‌دیده از شبکه خارج خواهد شد.

سایر اجزای محصولات EDR عبارتند از:

تجزیه و تحلیل رفتار کاربردی، پایگاههای داده تهدید، الگوریتم‌های یادگیری عمیق، خدمات امنیتی مدیریت‌شده، پاسخ به حوادث و بهبود انطباق و گزارش‌دهی.

ابزارهای EDR دارای ادغام‌هایی هستند که بطور یکپارچه با زیرساخت‌های امنیتی چندلایه ترکیب میشوند.

راهکار EDR چگونه کار میکند؟

راهکار EDR برای تشخیص حملات هدفمند مانند تشخیص نقض، کنترل سیستم، حرکت بعدی و کنترل کردن PowerShell، از تشخیص پیشرفته حمله در نقطه انتهایی و تجزیه و تحلیل مبتنی بر ابر استفاده میکند.

نرم افزار Symantec EDR با اولویت‌بندی حوادث ناشی از خطر، بهره‌وری محقق را افزایش میدهد.

وظیفه اصلی سیستم امنیتی EDR عبارتند از: نظارت و جمع آوری داده‌های فعالیت از نقاط انتهایی که میتوانند تهدید را نشان دهند.

نرم‌افزار EDR، برای شناسایی الگوهای تهدید، داده‌ها را تجزیه و تحلیل میکند. بطور خودکار به تهدیدهای شناسایی شده برای حذف یا مهار آنها پاسخ داده و به پرسنل امنیتی اطلاع میدهد.

در مجموع نرم‌افزار Symantec Endpoint Detection and Response بصورت زیر، تهدیدات را شناسایی نموده و پاسخ میدهد:

پلتفرم‌های EDR بطور مداوم دستگاههای فیزیکی اندپوینت را با استفاده از تجزیه و تحلیل با درجه بالایی از اتوماسیون رصد میکنند تا به سرعت تهدیدات سایبری را شناسایی و به آنها پاسخ دهند.

راه‌حلهای EDR میتوانند از نظر قابلیت‌های خود بسیار متفاوت باشند، اما بطور کلی از یک گردش کار دایره‌ای برای شناسایی، مهار، بررسی و رفع تهدیدات به شرح زیر پیروی میکنند:

1- نظارت مداوم بر دستگاههای اندپوینت.

هنگامیکه اندپوینت‌ها و کاربران به سیستم متصل میشوند، نرم‌افزار EDR یک ایجنت نرم‌افزاری روی هر یک از آنها نصب میکند که با استفاده از الگوریتم‌های هوش مصنوعی و یادگیری ماشینی برای تجزیه و تحلیل رفتارهای اندپوینت، “دستگاه را مدیریت میکند”.

ایجنت نرم‌افزاری EDR بطور مداوم فعالیتهای مرتبط را در هر دستگاه مدیریت شده ثبت میکند و تضمین میکند که همه اندپوینت‌ها و کاربران برای تیمهای امنیتی قابل مشاهده هستند.

2- جمع‌آوری داده‌های تله‌متری.

داده‌های دریافتی از هر دستگاه از ایجنت به EDR ارسال میشود که میتواند در فضای ابری یا در محل باشد.

شما میتوانید گزارشهای رویداد، تلاشهای احراز هویت، استفاده از برنامه و سایر اطلاعات را بصورت بلادرنگ امنیتی مشاهده کنید.

EDR داده‌های مربوط به فعالیت اندپوینت را ذخیره میکند و در برابر هرگونه تغییر رفتاری دقدام میکند.

3- تجزیه و تحلیل داده‌ها برای کشف ناهنجاری‌ها.

EDR داده‌های مربوط به رفتار مشکوک را جمع‌آوری میکند، سپس آنها را فیلتر و آنالیز میکند و بدنبال شواهدی از فایلهای مخرب میگردد.

بدین ترتیب، EDR حوادث نفوذی را کشف میکند که در غیراینصورت ممکن است از دست بروند.

EDR از تجزیه و تحلیل رفتاری استفاده میکند که از هوش مصنوعی و یادگیری ماشینی به همراه یک چارچوب اطلاعات تهدید جهانی برای شناسایی حملات سایبری بهره میبرد.

تشخیص، زنگ خطری را به صدا در می‌آورد که تحقیقی را برای شناسایی منبع حمله و نحوه عبور آن از محیط سیستم آغاز میکند.

4- تهدیدهای مشکوک را علامت‌گذاری کرده و اقدامات اصلاحی خودکار را انجام میدهد.

راهکار EDR حملات بالقوه را علامت‌گذاری کرده و هشدارهای عملی را به تیمهای امنیتی ارسال میکنند تا آنها بتوانند به سرعت پاسخ دهند و به کاربران اطلاع دهند.

سولوشن EDR، بسته به ماهیت تهدید، ممکن است یک اندپوینت یا یک بخش شبکه را برای مهار تهدید در حین بررسی حادثه، ایزوله کند.

اصلاح، از مراحل قبلی برای از بین بردن تهدید از همه سیستمها و بخشها و بازگرداندن نقاط انتهایی به حالت عملیاتی استفاده میکند.

5- ذخیره داده‌ها برای استفاده پزشکی قانونی.

فناوری EDR سابقه پزشکی قانونی از رویدادهای گذشته را برای اطلاع‌رسانی به تحقیقات آینده نگه میدارد.

تحلیلگران امنیتی میتوانند از این داده‌های تاریخی برای تجمیع رویدادها یا برای بدست آوردن تصویر کلی در مورد یک حمله طولانی مدت یا قبلاً کشف نشده استفاده کنند.

سوالات متداول (FAQS)

1- در امنیت سایبری، نرم افزار EDR چیست؟

در واقع EDR مخفف Endpoint Detection and Response است که با هدف نظارت بر فعالیتهای اندپوینت، تشخیص رفتارهای مشکوک و پاسخ بلادرنگ به تهدیدات را فراهم میکند.

2- امنیت EDR چگونه میتواند کمک کند؟

EDR با قابلیت مشاهده فعالیتهای اندپوینت، امکان تشخیص سریع تهدیدات و کمک به اجرای اقدامات مؤثر در پاسخ به خطرات را فراهم میکند.

3- تأثیر EDR بر پاسخ به حوادث چیست؟

EDR با ارائه داده‌های بلادرنگ و قابلیت‌های پاسخ خودکار، زمان پاسخ به حوادث را بطور قابل توجهی افزایش میدهد و به تیمهای امنیتی اجازه میدهد تا به سرعت تهدیدات را مهار کنند.

4- راهکار EDR چگونه تهدیدات را شناسایی و به آنها پاسخ میدهد؟

راهکار EDR از آنالیز رفتاری، هوش تهدید و الگوریتم‌های یادگیری ماشین برای شناسایی ناهنجاری‌های فعالیت اندپوینت و پاسخ خودکار به تهدیدات شناسایی شده استفاده میکند.

شرکت داده پایش کارن، ارائه‌دهنده محصولات امنیت شبکه و اطلاعات سیمانتک، آمادگی ارائه خدمات و لایسنس نرم‌افزار امنیت Symantec EDR را دارا میباشد.‌